[Virus] Komt telkens terug

- DeJa - Vu - · **08-10-2004, 21:53**

Hallo,

Na een jaar of 3 virus-vrij te surfen, heb ik er dan toch eindelijk 1 te pakken. Nouja, of het een virus is of spy-ware, is me niet helemaal duidelijk. 2 Virusscanner herkennen het niet, maar ik krijg wel elke keer de melding dat er een virus is aangetroffen (maar kan niet worden verwijderd). Er worden verschillende virussen aangetroffen, zoals op de volgende plaatjes is te zien:
klik1 klik2 klik3.
Verder als ik scan met anti-spyware scanners, wordt er elke keer weer nieuwe dingen gevonden. Als ik het verwijder komt het weer terug (lang leven AdAware

).

Wat moet ik doen?

Extra info:
Win XP SP1
IE v6.0.2800.1106

Ik download altijd de laatste Windows updates (behalve sp2)
Virusscanner: AVG ( http://www.free-av.com ) altijd up2date
2nd virusscanner: HouseCall ( http://housecall.trendmicro.com/hous...start_corp.asp )
Firewall: ZoneAlarm
Geïnstalleerde anti-spyware e.d.:
Adaware (up2date)
Bazooka Scanner
Adware Away

freyk · **08-10-2004, 22:24**

Citaat:

- DeJa - Vu - schreef op 08-10-2004 @ 22:53 :
2 Virusscanner herkennen het niet, maar ik krijg wel elke keer de melding dat er een virus is aangetroffen (maar kan niet woden verwijderd).

Tja, als je delf niet automatisch kan verwijderen, dan doe je het toch ff handmatig?
En als je last hebt van stubby, dan verwijder je hem toch ff met een tooltje?
(of je doet het handmatig )

Citaat:

- DeJa - Vu - schreef op 08-10-2004 @ 22:53 :
(lang leven AdAware ).

al eens spybot: s&d gebruikt dan?
Want adaware kan je altijd beter gebruiken in combitantie met spybot.

Citaat:

- DeJa - Vu - schreef op 08-10-2004 @ 22:53 :
Extra info:
Win XP SP1
IE v6.0.2800.1106
Ik download altijd de laatste Windows updates (behalve sp2)
Virusscanner: AVG ( http://www.free-av.com ) altijd up2date
2nd virusscanner: HouseCall ( http://housecall.trendmicro.com/hous...start_corp.asp )
Firewall: ZoneAlarm
Geïnstalleerde anti-spyware e.d.:
Adaware (up2date)
Bazooka Scanner
Adare Away

Post liever ff een hijackthis log, want daarin zien we meer dingen.
Ennuh bazooka en adare away kan je beter weggooien (commerciele troep -> kan je maar een paar dagen gebruiken en updaten tegen betaling).
(Meer tips over spyware lees je in [centraal] spyware & adware)

BarbapapaX · **09-10-2004, 10:06**

Ik heb zelf ook last van dit probleem

. Als je dan ergens in een programma zit gaat ie opeens trug naar windows. Dit is mn logfile van hijack this.

Code:

Logfile of HijackThis v1.97.7
Scan saved at 11:00:16, on 9-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\FSG\DialerDetect\dd.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\DOCUME~1\Ria\LOCALS~1\Temp\EBU3.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ria\Local Settings\Temporary Internet Files\Content.IE5\H9AKUD5F\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {88C5C070-8C60-4f45-9345-3FFB96334CAD} - C:\Program Files\IE URL Spoofing Patch\IEWorkaround.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [iedll] c:\WINDOWS\iedll.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1042.dll,InstantAccess
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Dialer Detect.lnk = C:\Program Files\FSG\DialerDetect\dd.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra 'Tools' menuitem: IE Privacy Keeper (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...6d49c52797e0c4
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...ctor/swdir.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/15/035/nl.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...858.3601041667
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/downlo...-US/msorun.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.co...X/FileXfer.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - 
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlexe.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42FA72CE-E0CC-4C53-B22D-6B935A3C11AB}: NameServer = 195.241.48.33 195.241.49.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{42FA72CE-E0CC-4C53-B22D-6B935A3C11AB}: NameServer = 195.241.48.33 195.241.49.33
p

hopelijk kan iemand me hiermee helpen

Maradinus · **09-10-2004, 10:30**

start --> uitvoeren ---> regedit --> bewerken --> zoeken

zoek naar de bestanden dier fout zijn en verwijder die

- DeJa - Vu - · **09-10-2004, 14:14**

Citaat:

freyk schreef op 08-10-2004 @ 23:24 :
Tja, als je delf niet automatisch kan verwijderen, dan doe je het toch ff handmatig?
En als je last hebt van stubby, dan verwijder je hem toch ff met een tooltje?
(of je doet het handmatig )

al eens spybot: s&d gebruikt dan?
Want adaware kan je altijd beter gebruiken in combitantie met spybot.

Post liever ff een hijackthis log, want daarin zien we meer dingen.
Ennuh bazooka en adare away kan je beter weggooien (commerciele troep -> kan je maar een paar dagen gebruiken en updaten tegen betaling).
(Meer tips over spyware lees je in [centraal] spyware & adware)

Ik had bazooka en adware away dus gedownload in verband met eerdere problemen met spyware, die wel verwijdert werden na veel klooien (te weten WebRebates en 180 solutions). Ik gooi ze er binnenkort af omdat je er inderdaad weinig mee kan zonder te betalen.
Hijackthis log heb ik wel, maar ik wist niet of er iemand op dit forum was die daar goed wijs uit kan worden. Is wel wat kennis voor nodig.
Dat ik m nu niet post, heeft alles te maken met het feit dat ik de laatste 2x dat ik heb opgestart, nergens meer last van heb. Zodra ik weer virus meldingen krijg, zal ik hier mijn log posten.

Is Spybot Search & Destroy freeware?

Ik kon het [centraal] topic niet zo snel vinden, vandaar dat ik een nieuwe had geopend.

@Maradinus: uit reg verwijderen had ook weinig zin omdat die ook elke keer weer opnieuw aangemaakt worden.

Bedankt voor de tips, maar ik wacht even af of ik er nu nogsteeds last van heb.

freyk · **09-10-2004, 15:14**

Citaat:

BarbapapaX schreef op 09-10-2004 @ 11:06 :
hopelijk kan iemand me hiermee helpen

Tuurlijk!
Hier een lijstje met de verdachte bestanden:

C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
Met twee woorden: spyware/adware
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
hier dus ook
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
Sinds wanneer kan rundll32.exe te gelijk gerunt worden?
Misschien vanwege dit:
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE <-- rotzooi!
C:\Program Files\FSG\DialerDetect\dd.exe
O4 - Startup: Dialer Detect.lnk = C:\Program Files\FSG\DialerDetect\dd.exe
Controleer liever handmatig of je wel/geen dailer hebt.
Neem eens een kijkje bij je internetverbindingen.
C:\DOCUME~1\Ria\LOCALS~1\Temp\EBU3.exe
Google.nl en ik kennen het niet, jij wel?
O9 - Extra 'Tools' menuitem: IE Privacy Keeper (HKCU)
Je privacy "keepen" kan je ook via andere manieren.
Moet je maar eens vragen bij [centraal] spyware & adware.

===

Citaat:

- DeJa - Vu - schreef op 09-10-2004 @ 15:14 :
Is Spybot Search & Destroy freeware?

Spybot: Search & destroy is freeware (dus ook de updates en het gebruik), en je kan hem hier downloaden.

Citaat:

- DeJa - Vu - schreef op 09-10-2004 @ 15:14 :
Ik kon het [centraal] topic niet zo snel vinden, vandaar dat ik een nieuwe had geopend.

Die kan je hier vinden.
(en anders kon je ook de link vinden in de dikgedrukte sticky: centrale topics.)

Citaat:

- DeJa - Vu - schreef op 09-10-2004 @ 15:14 :
@Maradinus: uit reg verwijderen had ook weinig zin omdat die ook elke keer weer opnieuw aangemaakt worden.

dan moet je ook de rest van de sleutels verwijderen he.
En soms word het ook automatisch aangemaakt door een programma (met verborgen adware), die je veel gebruikt.
Dus ik stel voor om al je programma's te controleren.

Zullen we hier met z'n allen verder gaan???

plishing · **09-10-2004, 16:04**

Citaat:

BarbapapaX schreef op 09-10-2004 @ 11:06 :

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

Twee keer iexplore.exe heb ik ook al eens gehad. Die kun je verwijderen met AdAware PE 1.05 en laatste update.

Die eerste RUNDLL32.EXE hoort er niet. Wat het is weet ik niet, maar er hoort maar 1 rundll32 te lopen

freyk · **09-10-2004, 16:08**

Citaat:

plishing schreef op 09-10-2004 @ 17:04 :
Twee keer iexplore.exe heb ik ook al eens gehad.

Wacht dat je van dat DeJa - Vu tegelijk internet explorer en windows verkenner getegelijk aan had staan toen hij een scan maakte met hijackthis?

Citaat:

plishing schreef op 09-10-2004 @ 17:04 :
Die kun je verwijderen met AdAware PE 1.05 en laatste update.

Lijkt me niet verstandig,...dan wis je i.e of windows verkenner.
Raad dan aub Adaware SE aan, want we hebben geen zin om te dokken!

Citaat:

plishing schreef op 09-10-2004 @ 17:04 :
Die eerste RUNDLL32.EXE hoort er niet. Wat het is weet ik niet, maar er hoort maar 1 rundll32 te lopen

Zoals ik dus zei, de ene is spyware.

- DeJa - Vu - · **09-10-2004, 17:05**

Bedankt voor de reacties. Voordat dit topic wordt gesloten door een mod, wou ik nog even zeggen dat ik ergens had gelezen dat de regkeys inderdaad worden aangemaakt door een programma dat ik vaak gebruik: internet explorer.

Ik heb zojuist weer 4 virusmeldingen gekregen, dus daar ben ik voorlopig nog niet vanaf. Het centraal topik heb ik inmiddels ook gevonden ja.

Ik zal proberen of ik mijn probleem nog een keer en iets helderder kan formuleren daar, en mijn log-file kan posten.

Deze kan op slot.

BarbapapaX · **10-10-2004, 09:42**

Citaat:

freyk schreef op 09-10-2004 @ 16:14 :
Tuurlijk!
Hier een lijstje met de verdachte bestanden:
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
Met twee woorden: spyware/adware

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
hier dus ook

C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
Sinds wanneer kan rundll32.exe te gelijk gerunt worden?
Misschien vanwege dit:
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE <-- rotzooi!

C:\Program Files\FSG\DialerDetect\dd.exe
O4 - Startup: Dialer Detect.lnk = C:\Program Files\FSG\DialerDetect\dd.exe
Controleer liever handmatig of je wel/geen dailer hebt.
Neem eens een kijkje bij je internetverbindingen.

C:\DOCUME~1\Ria\LOCALS~1\Temp\EBU3.exe
Google.nl en ik kennen het niet, jij wel?

O9 - Extra 'Tools' menuitem: IE Privacy Keeper (HKCU)
Je privacy "keepen" kan je ook via andere manieren.
Moet je maar eens vragen bij [centraal] spyware & adware.

===

Spybot: Search & destroy is freeware (dus ook de updates en het gebruik), en je kan hem hier downloaden.

Die kan je hier vinden.
(en anders kon je ook de link vinden in de dikgedrukte sticky: centrale topics.)

dan moet je ook de rest van de sleutels verwijderen he.
En soms word het ook automatisch aangemaakt door een programma (met verborgen adware), die je veel gebruikt.
Dus ik stel voor om al je programma's te controleren.

Zullen we hier met z'n allen verder gaan???

Bedankt voor het kijken

Topictools	Zoek in deze topic
Printversie tonen Deze pagina e-mailen	Zoek in deze topic: Geavanceerd zoeken

Soortgelijke topics
Forum	Topic	Reacties	Laatste bericht
Software & Hardware	Windows XP.. waar kopen? freakinaround	38	10-11-2007 08:51
Software & Hardware	Nieuw Virus via MSN beckham1990	13	01-12-2006 18:46
Software & Hardware	[Centraal] Spyware & Adware [3] Enlightenment	461	24-01-2006 09:53
Nieuws, Achtergronden & Wetenschap	Media en de islam juno	20	25-11-2005 10:35
Verhalen & Gedichten	[Verhaal] Science Fiction Verwijderd	6	28-04-2003 12:18

09-10-2004, 10:30
Maradinus	start --> uitvoeren ---> regedit --> bewerken --> zoeken zoek naar de bestanden dier fout zijn en verwijder die __________________ Het is toch ons bier !?

Advertentie